kong

Kong开源项目详解

项目简介

Kong旨在提供一个云原生、平台无关且可扩展的API网关，作为管理API流量的核心层。它致力于解决API管理过程中的诸多挑战，如代理、路由、负载均衡、健康检查、认证授权等，使工程团队能够更专注于核心业务逻辑的开发。同时，Kong还顺应人工智能发展趋势，加入了先进的AI功能，支持多LLM（大语言模型），为API管理注入新的能力，助力企业在数字化转型中更好地利用AI技术。

项目特点

功能丰富且强大

1. 高级路由、负载均衡与健康检查：Kong通过RESTful风格的Admin API或声明式配置，能够灵活地实现高级路由策略，根据不同的规则将请求准确地路由到相应的服务。例如，可以基于请求头、请求参数等条件进行路由。同时，它具备高效的负载均衡能力，可将流量均匀分配到多个后端服务实例上，提升整体性能。此外，实时的健康检查机制能及时发现后端服务的故障，确保流量只被发送到健康的实例，保障系统的稳定性。
2. 多样化的认证与授权：支持JWT（JSON Web Token）、基本认证、OAuth、ACLs（访问控制列表）等多种认证和授权方式，满足不同场景下的安全需求。以OAuth为例，在第三方应用接入的场景中，OAuth可以确保只有经过授权的第三方应用能够访问特定的API资源，保护企业数据的安全。
3. 全面的代理与连接支持：既能作为反向代理，接收来自客户端的请求并转发到后端服务，又能实现SSL/TLS终止，对传输数据进行加密和解密，保障数据传输的安全性。同时，它对L4（传输层）和L7（应用层）流量都提供良好的支持，适用于各种网络协议和应用场景。

可扩展性强

1. 插件式架构：Kong最大的优势之一就是其插件式架构。通过插件，用户可以轻松地为API网关添加各种功能，如流量控制、速率限制、请求/响应转换、日志记录、监控等。而且，Kong还设有插件开发者枢纽，方便开发者发布和共享自己开发的插件。例如，AWS Lambda插件可以实现将请求转发到AWS Lambda函数进行处理，拓展了Kong的功能边界。
2. 先进的部署模型：支持声明式无数据库部署和混合部署（控制平面/数据平面分离）等复杂部署模型，且不依赖于特定的供应商。声明式无数据库部署使得在一些轻量级场景或者对数据库依赖度较低的场景中，能够快速部署和启动Kong，减少了部署的复杂性和维护成本。混合部署则在大规模、高要求的场景下，通过分离控制平面和数据平面，提升了系统的性能和可管理性。
3. 原生Kubernetes支持：Kong官方提供了Kubernetes Ingress Controller，能够原生地运行在Kubernetes环境中，与Kubernetes生态系统无缝集成。这使得在Kubernetes集群中管理API变得更加便捷，充分利用Kubernetes的容器编排能力，实现API网关的自动化部署、扩展和管理。

AI功能加持

1. 多LLM支持：Kong加入了对多种大语言模型的支持，为API管理带来了新的应用场景。例如，在智能客服场景中，通过调用不同的LLM，可以实现对用户咨询的智能回复，提升服务质量。
2. AI相关插件：提供了一系列AI相关插件，用于实现高级AI提示工程、AI可观测性、AI安全等功能。这些插件可以帮助企业更好地利用AI技术，同时保障AI应用的安全性和可观测性。例如，通过AI安全插件，可以检测和防范针对AI模型的恶意攻击，保护企业的AI资产。

技术原理

核心架构

Kong的核心是基于OpenResty构建的，OpenResty是一个将Nginx与LuaJIT相结合的高性能Web平台。Nginx本身就是一款高性能的Web服务器和反向代理服务器，具有出色的并发处理能力和低内存消耗。而LuaJIT则是Lua语言的即时编译器，能够显著提升Lua代码的执行效率。Kong利用Nginx的事件驱动模型和高性能的网络处理能力，以及LuaJIT的高效脚本执行能力，构建了一个快速且灵活的API网关。

插件机制

Kong的插件是基于Lua编写的。每个插件都是一个独立的Lua模块，通过特定的接口与Kong核心进行交互。当请求到达Kong时，Kong会按照配置的顺序依次调用各个插件。插件可以在请求处理的不同阶段（如请求到达、请求转发、响应返回等）执行相应的逻辑。例如，一个日志记录插件可以在请求处理完成后，将相关的请求和响应信息记录到日志文件中。这种插件式架构使得Kong的功能扩展变得非常方便，开发者只需要按照规范编写Lua插件，就可以为Kong添加新的功能。

路由与负载均衡原理

在路由方面，Kong通过解析请求的各种信息（如URL、请求头、请求参数等），依据配置的路由规则将请求转发到相应的目标服务。这些路由规则可以通过Admin API进行动态配置。负载均衡方面，Kong支持多种负载均衡算法，如轮询、IP哈希等。以轮询算法为例，Kong会按照顺序依次将请求发送到后端服务列表中的各个实例，实现流量的均匀分配。同时，Kong通过健康检查机制，实时监测后端服务的状态，当发现某个服务实例不健康时，会自动将其从负载均衡列表中移除，确保流量只被发送到健康的实例。

与其他技术路径对比

1. 与传统API网关对比：传统API网关通常是单体架构，功能相对固定，扩展和维护成本较高。而Kong采用微服务架构和插件式设计，功能可灵活扩展，不同的功能模块可以独立开发、部署和维护，降低了开发和维护的难度。例如，当需要添加一个新的认证方式时，在传统API网关中可能需要修改核心代码并重新部署整个网关，而在Kong中只需要开发一个新的插件并进行简单配置即可。
2. 与云原生API网关对比：虽然部分云原生API网关也具备一定的可扩展性，但Kong在跨平台支持方面表现更为出色。它不仅可以很好地集成到Kubernetes等云原生环境中，还能在裸金属服务器、虚拟机等传统环境中稳定运行，不受限于特定的云平台，具有更强的通用性和灵活性。

技术创新点

1. AI与API网关的融合：将AI功能融入API网关是Kong的一大创新点。通过支持多LLM和提供AI相关插件，Kong为API管理开辟了新的领域。例如，利用AI提示工程插件，可以根据不同的请求场景自动生成合适的提示信息，辅助LLM更好地理解和处理请求，提升API的智能化水平。
2. 声明式无数据库部署：这种部署方式打破了传统API网关对数据库的依赖，使得在一些简单场景或者对数据库可用性要求不高的场景下，能够快速部署和启动API网关。通过声明式配置文件，Kong可以直接加载配置信息，无需依赖数据库进行存储和读取，提升了部署的便捷性和效率。

类似项目

Apigee

1. 项目链接：Apigee
2. 项目简介：Apigee是谷歌云提供的一款API管理平台。它提供了全面的API生命周期管理功能，包括设计、开发、部署、监控和安全管理等。Apigee集成了谷歌云的各种服务，在与谷歌云生态系统的整合方面具有优势。例如，它可以轻松地与Google Cloud Pub/Sub、BigQuery等服务集成，方便进行数据处理和分析。同时，Apigee提供了丰富的可视化工具，便于用户直观地管理和监控API。然而，由于其与谷歌云紧密绑定，在跨云平台使用方面可能存在一定的局限性，对于非谷歌云环境的适配性相对较弱。

Tyk

1. 项目链接：Tyk
2. 项目简介：Tyk是一款开源的API网关，具有高性能和可扩展性。它支持多种协议，包括HTTP、HTTPS、MQTT等，适用于不同类型的应用场景。Tyk同样采用插件式架构，用户可以通过开发插件来扩展其功能。在安全方面，Tyk提供了诸如身份验证、授权、速率限制等功能，保障API的安全访问。与Kong相比，Tyk在某些特定行业的解决方案上可能更具针对性，例如在物联网领域，Tyk对MQTT协议的支持和相关的物联网解决方案较为完善。但在AI功能集成方面，Tyk目前的发展相对滞后，尚未像Kong一样深度融入AI技术。

Amazon API Gateway

1. 项目链接：Amazon API Gateway
2. 项目简介：这是亚马逊云服务（AWS）提供的一项服务，主要用于创建、发布、维护、监控和保护从任何来源（如Web应用程序、移动应用程序或物联网设备）到运行在AWS上或其他地方的后端服务的API。它与AWS的其他服务（如Lambda、EC2等）无缝集成，方便用户构建无服务器架构的应用。例如，用户可以轻松地将API请求转发到AWS Lambda函数进行处理。然而，由于其紧密依赖AWS生态系统，在跨云使用或者非AWS环境下的部署和使用会受到一定限制，不像Kong那样具有较强的平台无关性。

环境配置

硬件环境要求

Kong作为一款高性能的云原生API网关，对硬件环境有一定的要求，具体的硬件配置取决于实际的业务负载。一般来说，在开发和测试环境中，普通的服务器配置即可满足需求，例如：
– CPU：至少2核，对于负载较高的生产环境，建议4核及以上，以确保能够处理大量的API请求。
– 内存：开发测试环境2GB以上，生产环境建议根据预估的流量和并发请求数进行调整，一般4GB及以上较为合适，以保证Kong在处理请求和缓存数据时不会因内存不足而出现性能问题。
– 存储：足够的磁盘空间来存储Kong的配置文件、日志文件等，对于有大量日志记录需求的场景，需要更大的磁盘空间，例如100GB以上。

软件环境要求

• 操作系统：Kong支持多种操作系统，包括但不限于Linux（如Ubuntu、CentOS等）、macOS等。不同操作系统在安装和配置过程中可能会有细微差异。
• 数据库：Kong支持使用PostgreSQL或Cassandra作为数据存储。如果选择PostgreSQL，建议版本在9.5及以上；若使用Cassandra，建议版本在3.0及以上。数据库用于存储Kong的配置信息，如API定义、插件配置等。例如，在安装PostgreSQL后，需要创建专门的数据库和用户供Kong使用，并配置合适的权限。
• 依赖项：根据不同的安装方式，可能需要安装一些依赖项。例如，在基于Docker安装时，需要先安装Docker环境；在从源代码编译安装时，可能需要安装LuaJIT、OpenResty等相关依赖。在Ubuntu系统上安装LuaJIT，可以使用apt - get install luajit命令。

安装

基于Docker安装

1. 安装Docker：如果系统尚未安装Docker，需要先进行安装。以Ubuntu系统为例，可以通过以下命令安装：

sudo apt - get update
sudo apt - get install docker.io

安装完成后，可以通过sudo systemctl start docker启动Docker服务，并使用sudo systemctl enable docker设置开机自启。
2. 克隆Docker仓库：执行以下命令克隆Kong的Docker仓库，并进入指定的compose文件夹：

git clone https://github.com/Kong/docker - kong
cd docker - kong/compose/

3. 启动Gateway栈：使用以下命令启动Kong Gateway栈，这里假设使用PostgreSQL作为数据库：

KONG_DATABASE=postgres docker - compose --profile database up

上述命令会启动Kong相关的容器，包括Kong Gateway、数据库（如果配置了）等。启动完成后，Kong Gateway将在本地的特定端口上可用，如8000用于发送流量到服务，8001用于通过Admin API或decK配置Kong，8002用于访问Kong的管理Web UI（Kong Manager）。

基于源代码编译安装

安装依赖项：根据系统和Kong的要求，安装必要的依赖项，如LuaJIT、OpenResty等。例如，在CentOS系统上安装LuaJIT，可以通过以下步骤：

yum install - y gcc pcre - devel openssl - devel
git clone https://github.com/openresty/luajit2
cd luajit2
make && make install

下载Kong源代码：从GitHub上克隆Kong的源代码仓库：

git clone https://github.com/Kong/kong

编译和安装：进入Kong源代码目录，执行编译和安装命令。具体步骤可能因系统和配置不同而有所差异，一般可以参考Kong官方文档中的相关指南进行操作。例如，在安装过程中可能需要设置一些环境变量，指定安装路径等。

其他安装方式

除了上述两种常见的安装方式，Kong还支持在Kubernetes环境中通过官方的Kubernetes Ingress Controller进行安装，以及在不同的云平台上进行安装。在Kubernetes环境中安装，需要先确保Kubernetes集群已经搭建好，并且具备相应的权限。可以通过Helm等工具来简化安装过程，例如：

helm repo add kong https://charts.konghq.com
helm install kong kong/kong

不同的安装方式各有优缺点，基于Docker安装简单快捷，适合开发和测试环境；

基于源代码编译安装则可以根据需求进行定制化配置，适合对Kong有深度定制需求的场景；

在Kubernetes环境中安装则便于与容器化的微服务架构集成。

使用

基本概念

1. API定义：在Kong中，API定义是指对需要通过Kong进行管理的实际API的描述。包括API的名称、请求的URL匹配规则、目标服务的地址等信息。例如，可以定义一个API，将所有以/api/v1开头的请求转发到后端的某个微服务地址http://backend - service:8080。
2. 插件：插件是Kong的重要组成部分，通过插件可以为API添加各种功能，如认证、限流、日志记录等。Kong官方提供了丰富的插件，同时也支持开发者自定义插件。例如，使用JWT插件可以为API添加基于JSON Web Token的认证功能，限制只有携带有效JWT的请求才能访问API。
3. 消费者：消费者代表使用API的用户或应用程序。在Kong中，可以为消费者分配不同的认证凭证，以便对其访问API进行管理和控制。例如，为某个消费者分配一个API Key，该消费者在请求API时需要在请求头中携带这个API Key。

配置API

1. 使用Admin API：Kong提供了一个RESTful风格的Admin API，通过该API可以对Kong进行各种配置，包括定义API。例如，要创建一个新的API，可以发送如下的HTTP请求：

curl - i - X POST http://localhost:8001/apis   --data 'name=my - api'   --data 'uris=/my - api'   --data 'upstream_url=http://backend - service:8080'

上述请求创建了一个名为my - api的API，其请求路径为/my - api，目标服务地址为http://backend - service:8080。
2. 使用decK：decK是一个用于声明式配置Kong的工具。可以通过编写YAML文件来定义API、插件等配置，然后使用decK将配置应用到Kong。例如，创建一个kong.yml文件，内容如下：

apis:
  - name: my - api
    uris:
      - /my - api
    upstream_url: http://backend - service:8080

然后使用deck sync - - kong - addr http://localhost:8001 kong.yml命令将配置同步到Kong。

配置插件

1. 为API添加插件：以添加限流插件为例，使用Admin API可以通过以下请求为API添加限流插件：

curl - i - X POST http://localhost:8001/apis/my - api/plugins   --data 'name=rate - limiting'   --data 'config.minute=100'   --data 'config.hour=1000'

上述请求为名为my - api的API添加了限流插件，限制每分钟最多请求100次，每小时最多请求1000次。
2. 全局插件配置：有些插件可以配置为全局生效，对所有API都起作用。例如，要全局启用日志记录插件，可以通过Admin API发送如下请求：

curl - i - X POST http://localhost:8001/plugins   --data 'name=file - log'   --data 'config.path=/var/log/kong.log'

这样所有通过Kong的请求都会被记录到/var/log/kong.log文件中。

使用Kong Manager

1. 访问Kong Manager：在浏览器中访问http://localhost:8002，可以打开Kong Manager的Web界面。需要确保在启动Kong时已经配置了相关的Web UI服务。
2. 管理API和插件：在Kong Manager中，可以通过图形化界面方便地创建、编辑和删除API、插件以及消费者等。例如，在API管理页面，可以直观地看到已定义的API列表，点击某个API可以进入详细配置页面，进行诸如修改请求路径、目标服务地址等操作；在插件管理页面，可以为API选择并配置各种插件。

注意事项

性能优化

1. 缓存配置：合理配置缓存可以显著提高Kong的性能。例如，可以对一些不经常变化的API响应进行缓存，减少对后端服务的请求次数。在Kong的配置文件中，可以设置缓存相关的参数，如缓存的过期时间、缓存的存储方式等。例如，通过设置cache_ttl参数来控制缓存的过期时间。
2. 负载均衡策略：根据后端服务的特点选择合适的负载均衡策略。Kong支持多种负载均衡策略，如轮询、IP哈希等。如果后端服务对会话保持有要求，可以选择IP哈希策略，确保同一客户端的请求始终被转发到同一台后端服务器。
3. 资源监控：定期监控Kong的资源使用情况，包括CPU、内存、磁盘I/O等。可以使用系统自带的监控工具，如在Linux系统上使用top、iostat等命令，或者使用一些专门的监控工具，如Prometheus和Grafana集成来实时监控Kong的性能指标。当发现资源使用过高时，及时调整硬件配置或优化Kong的配置。

安全相关

1. 认证和授权：确保对Kong的Admin API进行严格的认证和授权。可以使用诸如基本认证、JWT认证等方式，防止未经授权的访问对Kong的配置进行修改。例如，在Kong的配置文件中配置基本认证，要求访问Admin API时提供用户名和密码。
2. 数据加密：对于传输中的数据，启用SSL/TLS加密，确保API请求和响应在传输过程中不被窃取或篡改。在Kong中，可以通过配置SSL证书来实现这一点。同时，对于存储在数据库中的敏感数据，如认证凭证等，也应该进行加密存储。
3. 防范攻击：Kong可能会面临各种网络攻击，如DDoS攻击、SQL注入攻击等。通过配置相关的安全插件，如防火墙插件、防SQL注入插件等，可以有效防范这些攻击。例如，使用防火墙插件可以设置访问控制规则，限制特定IP地址或IP段对Kong的访问。

官网：  https://konghq.com/install/

项目地址：  https://github.com/Kong/kong